声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
作者为防止目标泄露,所以写的纯文字分享,大家可以学习参考下这位师傅的一些思路,或者当个“故事”看。
引言
博客现在发文章发的越来越少了,很多项目都不方便公布,建个博客摆着也不知道写些什么,关了呢又感觉有些不舍,指不定哪天心血来潮又想捣鼓下博客哪个踏踏代码呢,迷茫....
同时也在纠结有没有必要将自己的思路公布出去,安全圈很小,涉网圈更小,一张重度打码的图片指不定也有人能一眼知道是哪个目标,啧啧,只能说是记忆力强大....慢慢开始理解为什么最近几年安全圈很少看到新技术思路的出现了,安全圈也卷起来了,害....
不闲扯了,简单写写某次项目的过程吧,图就不上了,就当水文吧~
客户发来一个传销 APP,需要得到数据取证,大概是十月份发来的吧,当时简单看了下情况;
前后端分离,基于海豚 CMS 二开,用的宝塔,开启了 TP 的 DEBUG,RCE不存在也打不了,后台地址改了,前台无上传,注入和 XSS 没戏,去官方下了海豚代码瞅了瞅,没什么卵用;
通过 TP 的特性漏洞得到了数据库账号密码,可惜没开启外链;
绕过宝塔拉 IP 封锁对网站目录进行扫描,想着跑个源码备份啥的,然无果;
没有做 CDN,查了下旁服和一些边缘资产,发现了几个前端服务器和几个后端服务器,完全是一模一样,毫无卵用....
发现存在独立客服站点,找到一客服账号弱口令进入客服后台,但是无法拿shell,后通过百度找到了该客服系统源码进行审计,发现确实没法,连个 XSS 都没挖到,审了个寂寞~
发现一处客服后台账号泄露接口,通过该接口获取到客服后台所有账号及密文密码;
柳暗花明
后面听到说某神器可以用了,遂使用该神器对目标进行了一波资产收集;
找到了好几个客服站,不过这套客服我之前审过,没戏,
找到一个他们团伙开设的另一个项目,和目标非常像,对该资产进行渗透,发现三个 admin 进入后台...
进去看了下,目测还在开发调试呢,后台也没啥数据,但是这些不影响,后台系统上传处添加上传后缀 php ,找个点直接传 php 直接秒,丝滑的一批,宝塔居然没出来打我,也是奇迹。
连上 shell 后简单看了下,上面就拿下的这个站和一个客服站,然后就没别的了,干净的一批;然后打包该站源码下来,本地开始搭建审计;发现个前台 token 可以伪造任意账号登陆,一处后台储存型 XSS,但是那个点管理员基本不会触发,想着顺着这条路挖个昵称处的 XSS ,结果尼玛,POST 参数 img,宝塔不拦截,非 IMG 的参数提交宝塔都要拦截,绕了半天绕不过去,太菜了,我也是第一次见到宝塔根据参数来决定拦截的情况,一脸懵,放弃,别的地方也没审出个啥,发现这代码和目标还是存在很大差异,遂审计这条路放弃
忘了说了,之前通过神器收集到了目标的后台地址,后台没有验证码和谷歌验证码之类的,也没有登陆次数限制,可以随便爆,当时想着这不是妥了嘛,结果现实很残酷,百万字典用完了都没跑出来个账号,
后面根据拿下的站点的源码发现,他后台登陆账号是检索的 账号、邮箱、手机号、三个满足其一即可,遂进行了常见如 13888888888 这类手机号进行爆破也失败,最后手动尝试邮箱的时候让我试出来一个账号:[email protected] ,根据这个命名,又跑出来三个账号如:[email protected],当时以为又稳了,结果跑了两天人麻了。然后又想起来之前客服站收集到的后台密文,根据客服源码的加密规则,使用 hashcat 进行破解,跑了几天,服务器都快炸了,我心态也炸了,也停止了破解,这条路也不通。
如上述所说,搞的头大,实在没辙了,只能拿出老办法,通过拿下的站点进行钓鱼,其实已经是最后的办法了,当时并没有报多大希望的,因为之前几个项目钓鱼被技术的智商虐哭了,害
结果把,这技术真的太贴心了,当天晚上就上线了,瞅了下电脑,要啥有啥,贼棒。
第二天到公司了详细看了下技术电脑的东西,看到后台的账号和密码当时我心态是有点炸的,为什么别人搞站都是什么123456,到我就是什么字母数字特殊符号?
通过技术电脑的服务器连接记录,得到目标服务器权限,其实这里已经可以结束了,直接连上服务器取证打包就完事的,但是又担心后期不好做司法解释,所以就想着进宝塔,通过宝塔后台一键备份更香一点,也因为这个想法,又让我折腾了半天....我这该死的强迫症~
你们恶不恶心宝塔我不知道,反正我是恶心坏了,十个项目九个是它,成功成为了非法网站的保护伞;
就说进宝塔这个事把,以前都是直接下载数据库,添加个账号覆盖数据库就完事了,结果这次居然不行???看了下宝塔的代码,我只能吐槽宝塔是找不到什么更新点了嘛?吃饱了撑着加了个登陆账号 ID 限制,只会检索 ID 为 1 的账号登陆,我当时脑瓜子嗡嗡的,被这奇葩操作整不会了...
其实这里把,我们只需要把添加的账号的 ID 改成 1 ,他原本的改成 2 就可以登陆了,登陆后在改回来即可,但是我当时就很不爽,这操作很麻烦,在加上刚好看到论坛有人说宝塔出漏洞了,我就想着既然如此,就审审宝塔代码把,一边找个更轻松省事的方式登陆宝塔,一边看看能不能挖到什么 0day~
然后一下午过去了,找到个一键登陆宝塔和一键删除自己操作的日志,不算0day,需要 root,其他的洞没挖到,不过解决了一开始的问题,以后想进宝塔就方便太多了,一个 py 脚本即可解决;
本文作者:Mr.Wu,转载请注明,尊守博主劳动成果!
原文地址:https://mrwu.red/web/4078.html
还在等什么?赶紧点击下方名片开始学习吧!
需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247507619&idx=1&sn=527b364ca2e5e2c700491a5498941c18&chksm=cfa57ab0f8d2f3a6e2585af2e70d2fac53e58c751d8b87250336c7fd0a2f4055fcf01aa7aa51&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh